**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de tokens en la mitigación AWS WAF inteligente de amenazas
<a name="waf-tokens"></a>

En esta sección se explica qué hacen AWS WAF los tokens.

AWS WAF los tokens son una parte integral de las protecciones mejoradas que ofrece la mitigación AWS WAF inteligente de amenazas. Un token, a veces denominado huella digital, es una recopilación de información sobre una sesión de un solo cliente que el cliente almacena y proporciona con cada solicitud web que envía. AWS WAF usa tokens para identificar y separar las sesiones de clientes maliciosos de las sesiones legítimas, incluso cuando ambas se originan en una sola dirección IP. El uso de los tokens supone unos costos insignificantes para los usuarios legítimos, pero caros a escala para las botnets. 

AWS WAF utiliza tokens para respaldar su navegador y la funcionalidad de impugnación para el usuario final, que se proporciona mediante la integración de la aplicación SDKs y las acciones de las reglas Challenge yCAPTCHA. Además, los tokens habilitan funciones de los grupos de reglas gestionados para el control de AWS WAF bots y la prevención de apropiación de cuentas.

AWS WAF crea, actualiza y cifra los tokens para los clientes que responden con éxito a los desafíos silenciosos y a los puzles CAPTCHA. Cuando un cliente con un token envía una solicitud web, incluye el token cifrado, lo AWS WAF descifra y verifica su contenido. 

**Topics**
+ [Cómo AWS WAF usa los tokens](waf-tokens-usage.md)
+ [AWS WAF características del token](waf-tokens-details.md)
+ [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md)
+ [Especificar dominios simbólicos y listas de dominios en AWS WAF](waf-tokens-domains.md)
+ [Tipos de etiquetas de token en AWS WAF](waf-tokens-labeling.md)
+ [Bloquear solicitudes que no tienen un AWS WAF token válido](waf-tokens-block-missing-tokens.md)
+ [Configuración requerida para los balanceadores de carga de aplicaciones que son orígenes CloudFront](waf-tokens-with-alb-and-cf.md)

# Cómo AWS WAF usa los tokens
<a name="waf-tokens-usage"></a>

En esta sección se explica cómo se AWS WAF usan los tokens.

AWS WAF usa tokens para registrar y verificar los siguientes tipos de validación de la sesión del cliente: 
+ **CAPTCHA**: los rompecabezas de CAPTCHA ayudan a distinguir a los bots de los usuarios humanos. Un CAPTCHA solo se ejecuta mediante la acción de regla CAPTCHA. Al completar con éxito el rompecabezas, el script CAPTCHA actualiza la marca de tiempo del CAPTCHA del token. Para obtener más información, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).
+ **Desafío**: los desafíos se ejecutan de forma silenciosa para ayudar a distinguir las sesiones normales de los clientes de las sesiones de bots y hacer que su funcionamiento sea más costoso para los bots. Cuando el desafío se completa correctamente, el script de desafío obtiene automáticamente un nuevo token AWS WAF si es necesario y, a continuación, actualiza la marca temporal del desafío del token. 

  AWS WAF ejecuta desafíos en las siguientes situaciones: 
  + **Integración de la aplicación SDKs**: la integración de la aplicación se lleva a SDKs cabo dentro de las sesiones de la aplicación del cliente y ayuda a garantizar que los intentos de inicio de sesión solo se permitan después de que el cliente haya respondido correctamente a un desafío. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).
  + **regla de acción de Challenge**: para obtener más información sobre las acciones de las reglas, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).
  + **CAPTCHA**: cuando se ejecuta un intersticial CAPTCHA, si el cliente aún no tiene un token, el script ejecuta primero automáticamente un desafío para verificar la sesión del cliente e inicializar el token. 

Muchas de las reglas de los grupos de reglas de las reglas AWS gestionadas por amenazas inteligentes requieren los tokens. Las reglas utilizan tokens para hacer cosas como distinguir entre los clientes de sesión, determinar las características del navegador y comprender el nivel de interactividad humana en la página web de la aplicación. Estos grupos de reglas invocan la administración de AWS WAF fichas, que aplica un etiquetado de fichas que, a continuación, los grupos de reglas inspeccionan. 
+ **AWS WAF Control del fraude y prevención del fraude en la creación de cuentas (ACFP)**: las normas de la ACFP exigen que las solicitudes web se realicen con tokens válidos. Para obtener más información acerca de las reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Control del fraude y prevención de la apropiación de cuentas (ATP)**: las normas de la ATP que impiden que las sesiones con clientes sean muy voluminosas y duren mucho tiempo, exigen que las solicitudes web estén acompañadas de un token válido y una fecha de impugnación indefinida. Para obtener más información, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).
+ **AWS WAF Control de bots**: las reglas específicas de este grupo de reglas limitan la cantidad de solicitudes web que un cliente puede enviar sin un token válido y utilizan el seguimiento de las sesiones mediante un token para la supervisión y la gestión de las sesiones. Según sea necesario, las reglas aplican las acciones de regla Challenge y CAPTCHA para aplicar la adquisición de los tokens y un comportamiento válido del cliente. Para obtener más información, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

# AWS WAF características del token
<a name="waf-tokens-details"></a>

Cada token incluye las siguientes características: 
+ El token se almacena en una cookie llamada `aws-waf-token`.
+ El token está cifrado.
+ El token toma las huellas digitales de la sesión del cliente con un identificador granular fijo que contiene la siguiente información: 
  + La marca de tiempo de la última respuesta exitosa del cliente a un desafío silencioso. 
  + La marca de tiempo de la última respuesta exitosa del usuario final a un desafío silencioso. Esto solo está presente si utiliza el CAPTCHA en sus protecciones. 
  + Información adicional sobre el cliente y su comportamiento que puede ayudar a separar a sus clientes legítimos del tráfico no deseado. La información incluye varios identificadores de clientes y señales del cliente que se pueden utilizar para detectar actividades automatizadas. La información recopilada no es única y no se puede asignar a un ser humano individual. 
    + Todos los tokens incluyen datos de las consultas del navegador del cliente, como indicios de automatización e incoherencias en la configuración del navegador. Los scripts que ejecuta la Challenge acción y la aplicación cliente recuperan esta información SDKs. Los scripts interrogan activamente al navegador y colocan los resultados en el token. 
    + Además, al implementar un SDK de integración de aplicaciones cliente, el token incluye información recopilada de forma pasiva sobre la interactividad del usuario final con la página de la aplicación. La interactividad incluye los movimientos del ratón, las pulsaciones de teclas y las interacciones con cualquier formulario HTML que esté presente en la página. Esta información ayuda a AWS WAF a detectar el nivel de interactividad humana en el cliente, lo que supone un desafío para los usuarios que no parecen humanos. Para obtener información acerca de las integraciones del cliente, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).

Por motivos de seguridad, AWS no proporciona una descripción completa del contenido de los AWS WAF tokens ni información detallada sobre el proceso de cifrado de los tokens. 

# Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF
<a name="waf-tokens-immunity-times"></a>

En esta sección, se explica cómo vencen las marcas de tiempo de los desafíos y de los CAPTCHA.

AWS WAF utiliza los tiempos de impugnación y de inmunidad al CAPTCHA para controlar la frecuencia con la que se puede presentar una impugnación o un CAPTCHA a una sesión de un solo cliente. Una vez que un usuario final responde satisfactoriamente a un CAPTCHA, el tiempo de inmunidad del CAPTCHA determina cuánto tiempo el usuario final permanece inmune a la presentación de otro CAPTCHA. Del mismo modo, el tiempo de inmunidad del desafío determina cuánto tiempo una sesión de cliente permanece inmune a la posibilidad de volver a ser desafiada tras responder satisfactoriamente a un desafío. 

**¿Cómo funcionan AWS WAF los tiempos simbólicos de inmunidad**

AWS WAF registra una respuesta exitosa a un desafío o CAPTCHA actualizando la marca de tiempo correspondiente dentro del token. Al AWS WAF inspeccionar el token en busca de un desafío o un CAPTCHA, resta la marca de tiempo de la hora actual. Si el resultado es superior al tiempo de inmunidad configurado, la marca de tiempo caduca. 

**Aspectos configurables de los tiempos de inmunidad de los AWS WAF tokens**

Puede configurar los tiempos de inmunidad del CAPTCHA y el desafío en el paquete de protección (ACL web) y también en cualquier regla que use la acción de regla CAPTCHA o Challenge. 
+ La configuración predeterminada del paquete de protección (ACL web) para ambos tiempos de inmunidad es de 300 segundos. 
+ Puede especificar el tiempo de inmunidad para cualquier regla que utilice la acción CAPTCHA o Challenge. Si no especifica el tiempo de inmunidad de la regla, esta hereda la configuración del paquete de protección (ACL web). 
+ En el caso de una regla dentro de un grupo de reglas que use la acción CAPTCHA o Challenge, si no especifica el tiempo de inmunidad de la regla, esta heredará la configuración de cada paquete de protección (ACL web) en el que use el grupo de reglas.
+ La integración de la aplicación SDKs utiliza el tiempo de inmunidad ante desafíos del paquete de protección (ACL web). 
+ El valor mínimo del tiempo de inmunidad del desafío es 300 segundos. El valor mínimo del tiempo de inmunidad de CAPTCHA es 60 segundos. El valor máximo para ambos tiempos de inmunidad es de 259 200 segundos o tres días. 

Puede usar el paquete de protección (ACL web) y la configuración del tiempo de inmunidad en la regla para ajustar la acción CAPTCHA, Challenge o el comportamiento de administración de desafíos del SDK. Por ejemplo, puede configurar reglas que controlen el acceso a datos muy confidenciales con tiempos de inmunidad bajos y, a continuación, establecer tiempos de inmunidad más altos en su paquete de protección (ACL web) para las demás reglas y SDKs para las que hereden. 

En el caso concreto del CAPTCHA, resolver un rompecabezas puede arruinar la experiencia del cliente en el sitio web, por lo que ajustar el tiempo de inmunidad del CAPTCHA puede ayudarlo a mitigar el impacto en la experiencia del cliente y, al mismo tiempo, ofrecer las protecciones que desea. 

Para obtener información adicional sobre cómo ajustar los tiempos de inmunidad para su uso de las acciones de regla Challenge y CAPTCHA, consulte [Prácticas recomendadas para usar las acciones CAPTCHA y Challenge](waf-captcha-and-challenge-best-practices.md).

# Dónde configurar los tiempos de inmunidad AWS WAF simbólicos
<a name="waf-tokens-immunity-times-setting"></a>

Puede establecer los tiempos de inmunidad en su paquete de protección (ACL web) y en las reglas que utilizan las acciones de regla Challenge y CAPTCHA. 

Para obtener información general sobre la administración de un paquete de protección (ACL web) y sus reglas, consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md).

**Dónde configurar el tiempo de inmunidad de un paquete de protección (ACL web)**
+ **Consola**: al editar el paquete de protección (ACL web), en la pestaña **Reglas**, edite y cambie la configuración de los paneles de **Configuración de CAPTCHA del paquete de protección (ACL web)** y **Configuración de desafíos del paquete de protección (ACL web)**. En la consola, solamente puede configurar los tiempos de inmunidad de los CAPTCHA y los desafíos del paquete de protección (ACL web) después de haberlo creado.
+ **Fuera de la consola**: el tipo de datos del paquete de protección (ACL web) tiene parámetros de configuración de CAPTCHA y desafíos, que puede configurar y proporcionar a sus operaciones de creación y actualización en el paquete de protección (ACL web). 

**Dónde configurar el tiempo de inmunidad de una regla**
+ **Consola**: al crear o editar una regla y especificar la acción CAPTCHA o Challenge, puede modificar la configuración del tiempo de inmunidad de la regla. 
+ **Fuera de la consola**: el tipo de datos de la regla tiene parámetros de configuración de CAPTCHA y desafíos, que puede configurar al definir la regla. 

# Especificar dominios simbólicos y listas de dominios en AWS WAF
<a name="waf-tokens-domains"></a>

En esta sección se explica cómo configurar los dominios que AWS WAF utiliza en los tokens y que acepta en los tokens.

Cuando AWS WAF crea un token para un cliente, lo configura con un dominio de token. Cuando AWS WAF inspecciona un token en una solicitud web, lo rechaza por no válido si su dominio no coincide con ninguno de los dominios que se consideran válidos para el paquete de protección (ACL web). 

De forma predeterminada, AWS WAF solo acepta los tokens cuya configuración de dominio coincida exactamente con la del dominio host del recurso asociado al paquete de protección (ACL web). Se trata del valor del encabezado `Host` de la solicitud web. En un navegador, puedes encontrar este dominio en la JavaScript `window.location.hostname` propiedad y en la dirección que el usuario ve en la barra de direcciones. 

También puede especificar dominios de tokens aceptables en su configuración de paquete de protección (ACL web), tal y como se describe en la siguiente sección. En este caso, AWS WAF acepta tanto las coincidencias exactas con el encabezado del host como las coincidencias con los dominios de la lista de dominios simbólicos.

Puede especificar los dominios simbólicos AWS WAF para usarlos al configurar el dominio y al evaluar un token en un paquete de protección (ACL web). Los dominios que especifique no pueden ser sufijos públicos, como `gov.au`. Para ver los dominios que no puede usar, consulte la lista en lista [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat) en la [lista de sufijos públicos](https://publicsuffix.org/list/).

## AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)
<a name="waf-tokens-domain-lists"></a>

Puede configurar un paquete de protección (ACL web) para compartir los tokens entre varios recursos protegidos proporcionando una lista de dominios simbólicos con los dominios adicionales que desee AWS WAF aceptar. Con una lista de dominios simbólicos, AWS WAF sigue aceptando el dominio anfitrión del recurso. Además, acepta todos los dominios de la lista de dominios de tokens, incluidos sus subdominios prefijados. 

Por ejemplo, una especificación de dominio `example.com` de su lista de dominios de tokens coincide con `example.com` (de `http://example.com/`), `api.example.com`, (de `http://api.example.com/`) y `www.example.com` (de `http://www.example.com/`). No coincide con `example.api.com` (de `http://example.api.com/`) ni con `apiexample.com` (de `http://apiexample.com/`).

Puede configurar la lista de dominios de tokens de su paquete de protección (ACL web) al crearla o editarla. Para obtener información general sobre la administración de un paquete de protección (ACL web), consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md).

## AWS WAF configuración del dominio simbólico
<a name="waf-tokens-domain-in-token"></a>

AWS WAF crea tokens a petición de los scripts de desafío, que se ejecutan mediante la integración de la aplicación SDKs Challenge y las acciones de CAPTCHA regla. 

El dominio que se AWS WAF establece en un token viene determinado por el tipo de script de desafío que lo solicita y por cualquier configuración de dominio de token adicional que proporciones. AWS WAF establece el dominio del token en la configuración más corta y general que pueda encontrar en la configuración.
+ **JavaScript SDK**: puede configurar el JavaScript SDK con una especificación de dominio simbólico, que puede incluir uno o más dominios. Los dominios que configure deben ser dominios que AWS WAF acepten, según el dominio host protegido y la lista de dominios simbólicos del paquete de protección (ACL web). 

  Cuando AWS WAF emite un token para el cliente, establece el dominio del token en uno que coincida con el dominio host y sea el más corto, entre el dominio host y los dominios de la lista configurada. Por ejemplo, si el dominio anfitrión es `api.example.com` y la lista de dominios token tiene`example.com`, AWS WAF usa `example.com` el token porque coincide con el dominio host y es más corto. Si no proporcionas una lista de dominios simbólicos en la configuración de la JavaScript API, AWS WAF establece el dominio como el dominio host del recurso protegido.

  Para obtener más información, consulte [Suministro de dominios para su uso en los tokens](waf-js-challenge-api-set-token-domain.md). 
+ **SDK para móviles**: en el código de su aplicación, debe configurar el SDK para móviles con una propiedad de dominio de token. Esta propiedad debe ser un dominio que AWS WAF acepte, con base en el dominio del host protegido y en la lista de dominios de tokens del paquete de protección (ACL web). 

  Cuando AWS WAF emite un token para el cliente, este utiliza esta propiedad como dominio del token. AWS WAF no usa el dominio host en los tokens que emite para el cliente del SDK móvil. 

  Para obtener más información, consulte la `WAFConfiguration` `domainName` configuración en [AWS WAF especificación de SDK móvil](waf-mobile-sdk-specification.md). 
+ **Challengeacción**: si especificas una lista de dominios simbólicos en el paquete de protección (ACL web), AWS WAF establece el dominio token en uno que coincida con el dominio anfitrión y sea el más corto, entre el dominio host y los dominios de la lista. Por ejemplo, si el dominio host es `api.example.com` y la lista de dominios token tiene`example.com`, AWS WAF usa `example.com` el token porque coincide con el dominio host y es más corto. Si no proporciona una lista de dominios simbólicos en el paquete de protección (ACL web), AWS WAF establece el dominio como el dominio host del recurso protegido. 

# Tipos de etiquetas de token en AWS WAF
<a name="waf-tokens-labeling"></a>

En esta sección, se describen las etiquetas que la administración de AWS WAF tokens añade a las solicitudes web. Para obtener información general acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

Cuando utilizas cualquiera de los grupos de reglas gestionados por AWS WAF bots o por el control de fraudes, los grupos de reglas utilizan la gestión de AWS WAF tokens para inspeccionar los tokens de las solicitudes web y etiquetar los tokens a las solicitudes. Para obtener información sobre los grupos de reglas administradas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md), [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) y [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

**nota**  
AWS WAF aplica etiquetas de token solo cuando se utiliza uno de estos grupos de reglas gestionados de forma inteligente para la mitigación de amenazas. 

La administración de token puede agregar las siguientes etiquetas a las solicitudes web.

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

# Bloquear solicitudes que no tienen un AWS WAF token válido
<a name="waf-tokens-block-missing-tokens"></a>

En esta sección se explica cómo bloquear las solicitudes de inicio de sesión a las que les faltan sus símbolos cuando se utiliza el SDK AWS WAF móvil.

Cuando se utilizan los grupos de reglas AWS gestionadas por las amenazas inteligentes y `AWSManagedRulesACFPRuleSet` `AWSManagedRulesATPRuleSet``AWSManagedRulesBotControlRuleSet`, los grupos de reglas invocan la administración de AWS WAF tokens para evaluar el estado del token de solicitud web y etiquetar las solicitudes en consecuencia. 

**nota**  
El etiquetado de los tokens solo se aplica a las solicitudes web que se evalúan mediante uno de estos grupos de reglas administradas.

Para obtener información sobre el etiquetado que aplica la administración de los tókenes, consulte la sección anterior, [Tipos de etiquetas de token en AWS WAF](waf-tokens-labeling.md). 

Luego, los grupos de reglas administradas de mitigación de amenazas inteligentes gestionan los requisitos de los tokens de la siguiente manera:
+ La regla `AllRequests` de `AWSManagedRulesACFPRuleSet` está configurada para ejecutar la acción Challenge contra todas las solicitudes y bloquear de forma efectiva las que no tengan la etiqueta de token `accepted`. 
+ `AWSManagedRulesATPRuleSet` bloquea las solicitudes que tienen la etiqueta de token `rejected`, pero no bloquea las solicitudes con la etiqueta de token `absent`. 
+ El nivel de protección específica de `AWSManagedRulesBotControlRuleSet` desafía a los clientes después de enviar cinco solicitudes sin una etiqueta de token `accepted`. No bloquea una solicitud individual que no tenga un token válido. El nivel de protección común del grupo de reglas no administra los requisitos de los tokens. 

Para obtener más información sobre los grupos de reglas de amenazas inteligentes, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md), [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) y [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 

**Para bloquear las solicitudes a las que les faltan tokens cuando se utiliza el grupo de reglas administradas de control de bots o ATP**  
Con los grupos de reglas de control de bots y ATP, es posible que una solicitud sin un token válido salga de la evaluación del grupo de reglas y que sea el paquete de protección (ACL web) el que continúe con la evaluación. 

Para bloquear todas las solicitudes a las que les falte su token o cuyo token haya sido rechazado, agregue una regla que se ejecute inmediatamente después del grupo de reglas administradas para capturar y bloquear las solicitudes que el grupo de reglas no gestione por usted. 

A continuación, se muestra un ejemplo de lista de JSON de un paquete de protección (ACL web) que utiliza el grupo de reglas administradas de la ATP. El paquete de protección (ACL web) tiene una regla adicional para capturar la etiqueta `awswaf:managed:token:absent` y gestionarla. La regla limita su evaluación a las solicitudes web que se dirigen al punto de conexión de inicio de sesión para que coincidan con el alcance del grupo de reglas de la ATP. La regla agregada aparece en negrita. 

```
{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}
```

# Configuración requerida para los balanceadores de carga de aplicaciones que son orígenes CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

Lea esta sección si asocia su paquete de protección (ACL web) a un Application Load Balancer e implementa el Application Load Balancer como origen de una distribución. CloudFront 

Con esta arquitectura, debe proporcionar la siguiente configuración adicional para que la información del token se gestione correctamente.
+ Configure CloudFront para reenviar la `aws-waf-token` cookie a Application Load Balancer. De forma predeterminada, CloudFront elimina las cookies de la solicitud web antes de reenviarla al origen. Para conservar la cookie de token con la solicitud web, configura el comportamiento de la CloudFront caché para que incluya solo la cookie de token o todas las cookies. Para obtener información sobre cómo hacerlo, consulte Almacenamiento en [caché de contenido basado en cookies en](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html) la *Guía para CloudFront desarrolladores de Amazon*.
+  AWS WAF Configúrelo para que reconozca el dominio de la CloudFront distribución como un dominio simbólico válido. De forma predeterminada, CloudFront establece el `Host` encabezado en el origen de Application Load Balancer y lo AWS WAF usa como dominio del recurso protegido. Sin embargo, el navegador del cliente ve la CloudFront distribución como el dominio host y los tokens que se generan para el cliente utilizan el CloudFront dominio como dominio del token. Sin ninguna configuración adicional, AWS WAF si se compara el dominio de recursos protegido con el dominio simbólico, se produce una discrepancia. Para solucionarlo, añada el nombre del dominio de CloudFront distribución a la lista de dominios simbólicos de la configuración del paquete de protección (ACL web). Para obtener información acerca de cómo hacerlo, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).